Vantaggi, problemi ed incentivi - Accountability nel Cloud

Capitolo 3: Accountability nel Cloud

3.3 Vantaggi, problemi ed incentivi

Dal punto di vista dell'utente ci sono chiari vantaggi nell'adottare un sistema cloud che fa uso di accountability: primo tra tutti la possibilità di scoprire facilmente se il provider non sta eseguendo il servizio come accordato e di ritenerlo responsabile o meno.

Dal punto di vista del provider, però, l'accountability può rappresentare un ostacolo: potrebbe, ad esempio, far emergere problematiche che altrimenti sarebbero rimaste sconosciute, intaccando così la propria reputazione. In questo modo, parte del potere viene affidato al cliente, fornendogli le prove dell'errore. Può risultare spontaneo chiedersi perché il cloud provider dovrebbe decidere di adottare l'accountability. Una prima ragione è sicuramente che attrae nuovi potenziali clienti. Inoltre lo stesso provider può utilizzarla per individuare e diagnosticare problemi in modo proattivo e quindi gestire più facilmente le lamentele da parte dei clienti.

Attualmente è difficile per i clienti distinguere tra i problemi causati dal cloud e quelli che hanno causato loro stessi, per questo motivo i provider spesso ricevono più lamentele di quelle per cui sono realmente responsabili.

Adottando l'accountability invece, il cliente ed il provider possono semplicemente eseguire un audit per determinare chi è responsabile del problema.

In alcuni scenari c'è connessione tra la privacy e l'accountability, dato che la seconda produce un registro dettagliato delle azioni delle macchine, che può essere revisionato da una terza parte. È importante però considerare cosa viene registrato e chi può vederlo. Un cloud che usa l'accountability può tenere un registro separato per ogni utente e renderlo visibile solo al legittimo proprietario. Un ipotetico cliente A quindi non potrà sapere nulla in riferimento alle azioni compiute dal cliente B, perfino la sua esistenza. La questione però rimane se l'accountability intacchi o meno la privacy del cloud provider. Visto che l‟audit riporta le prove dell'errore, se queste indicano quale componente (switch, router, server, ecc) ha causato il problema, il cliente potrebbe trarre delle conclusione sulla struttura interna del cloud.

D'altra parte però queste informazioni sugli errori sono molto utili per il cloud provider, che è responsabile di diagnosticare e risolvere il problema. Per ovviare a questo problema il provider potrebbe fornire delle tracce con diversi livelli di dettaglio.

La privacy è un punto cruciale del business e presenta un rilevante problema di conformità, in quanto rappresenta un‟intersezione di norme sociali, di diritti umani e di leggi. Essere conformi dal punto di vista legale e rispettare le aspettative del cliente, richiede alle organizzazioni di essere capaci di dimostrare un livello appropriato di responsabilità nel controllo sui dati, ad ogni stage dell‟elaborazione, dalla raccolta alla distruzione.

La possibilità del cloud di scalare rapidamente, di archiviare dati in remoto (senza conoscere il luogo fisico) e di condividere servizi in un ambiente dinamico, può creare problemi nel mantenere un livello di privacy tale da ispirare fiducia in un potenziale cliente.

Il cloud computing presenta alcune caratteristiche che fanno sorgere specifici rischi:

 Outsourcing: l'esternalizzazione della computazione dei dati inevitabilmente fa sorgere domande sulla governance e sull'accountability. Chi è responsabile di assicurare che i requisiti legali sulle informazioni personali siano rispettati o che gli standard per la gestione dei dati siano applicati? Può una terza parte controllare in modo efficace il rispetto di tali leggi e norme? In che misura l'elaborazione può essere data in subappalto e come sono confermate le identità e la buona fede dei subappaltatori? O ancora quali diritti sui dati saranno acquisiti da chi elaborerà i dati e saranno trasferibili in caso di bancarotta, acquisizioni o fusioni? I modelli on demand e pay-as-you-go potrebbero essere basati su relazioni di scarsa fiducia, coinvolgere terze parti che trascurano le pratiche di sicurezza ed esporre i dati, rendendo difficile la verifica dell‟effettiva cancellazione degli stessi.

 Offshoring: la delocalizzazione dell'elaborazione dei dati aumenta i fattori di rischio e la complessità dal punto di vista legale. Devono essere considerati i problemi di giurisdizione, di scelta della legge da applicare ed i soggetti che devono farlo. Un servizio di cloud computing che fa uso di outsourcing e offshoring può sollevare questioni molto complesse.

 Virtualizzazione: Possono presentarsi dei rischi di sicurezza condividendo le macchine, come la perdita di controllo sulla locazione dei dati e su chi può averne accesso. I dati delle transazioni non hanno proprietari ben definiti e può essere difficile anticipare quali potrebbero aver bisogno di protezione. Anche informazioni all'apparenza innocue potrebbero rivelarsi però sensibili per l'azienda.

 Autonomic technology: Concedere ad alcuni processi un certo grado di autonomia nel prendere le decisioni, per esempio per adattarsi automaticamente a nuove esigenze del cliente, spinge le aziende a mantenere gli standard di sicurezza previsti, a fornire un'adeguata continuità del servizio ma creerebbe l‟impossibilità di determinare dove i dati vengono elaborati all'interno del cloud [49].

Le soluzioni per la privacy devono risolvere una combinazione di problemi, richiedono spesso nuovi meccanismi piuttosto che una combinazione di quelli già esistenti per risolvere ogni singola problematica.

Nel complesso, la velocità e la flessibilità di adattamento offerte dai provider, che apportano benefici al business e motivano l'adozione del cloud computing, portano però rischi maggiori per la privacy e per la sicurezza dei dati. Questa è una delle preoccupazioni principali, sopratutto laddove si trattano dati finanziari e sanitari.

Nel documento Meccanismi per l'attribuzione delle responsabilità nell'erogazione dei servizi di cloud computing: una rassegna (pagine 58-61)